| |||
| | | |
| |
Teil 3: Die Vernachlässigung der IT-Sicherheit kann schnell teuer zu stehen kommen
Wie bereits in Teil 2 dieser Serie erläutert, gibt es leider kein „IT-Security Gesetz“, welches sämtliche Regelungen mit Bezug zur IT-Sicherheit zusammenfassen würde. Ganz im Gegenteil, so hat man sich die entsprechenden gesetzlichen Regelungen mühsam aus verschiedenen gesetzlichen Bestimmungen zusammenzusuchen. Dies sollte auch gründlich erfolgen, da die Folgen einer vernachlässigten IT-Sicherheitsinfrastruktur einem Unternehmen bzw. den Unternehmensverantwortlichen teuer zu stehen kommen kann.
1. Missachtung der gesetzlichen Verpflichtungen zur IT-Sicherheit nach KonTraG Im Aktiengesetz ist festgelegt, dass eine persönliche Haftung des Vorstand dann in Betracht kommt, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vor-beugt (§ 91 Abs. 2 und § 93 Abs. 2 AktG). Nahezu dieselben Anforderungen gelten:
Exkurs: In diesem Zusammenhang stellt sich nun die Frage, ob derlei Risiken durch eine Versicherung absicherbar sind? Dies ist natürlich möglich. Manager können sich in Deutschland gegen gewisse Risiken versichern lassen, etwa wenn es um die Ansprüche ihres Unternehmens ihnen gegenüber geht. Derlei Versicherungen, „directors & officers liabilty insurance“ genannt, umfassen jedoch nur die Haftung aufgrund von IT-Problemen und nur dann wenn dem Manager kein Vorsatz oder etwa eine „wissentliche Pflichtverletzung nachgewiesen werden kann. Beispiel: Ein Manager wurde aufgrund eines unternehmensinternen Expertengutachten ausdrücklich darüber in Kenntnis gesetzt, dass die Verfügbarkeit (zum Begriff, siehe oben B. Teil 4.1) gerade hinsichtlich bestimmter, sensibler Datenbestände nicht gewährleistet sei. Bliebe der Manager nun untätig, wäre ihm damit eine „wissentliche Pflichtverletzung“ im vorgenannten Sinne sicherlich vorwerfbar mit der Konsequenz, dass ein entsprechender Versicherungsschutz erlöschen würde. ***Exkursende*** 2. Mögliche Schadensersatzansprüche Die mangelhafte IT-Sicherheit eines Unternehmens kann auch Schadensersatzansprüche desjenigen Vertragpartners nach sich ziehen, dem durch die Leistungserbringung des Unternehmens konkret bezifferbare Schäden entstanden sind, etwa in Form eines kompletten oder auch nur teilweisen Produktions- oder gar Betriebsausfalles. Dasselbe gilt für den Fall, dass vertrauliche fremde Informationen abhanden gekommen sind. Als Haftungsgrundlage kommen hierbei schuldrechtliche Schadensersatzansprüche in Betracht, gemäß § 280ff. BGB. Gerade in diesem Zusammenhang ist auch § 241 Abs. 2 BGB zu beachten, wonach die Pflicht besteht, auf die Rechte, Rechtsgüter und Interessen des Vertragspartners Rücksicht zu nehmen. Hierzu gehören insbesondere die Beachtung von Schutzpflichten, Aufklärungs- und Beratungspflichten. 3. Datenschutzrechtliche Haftung Die Haftungsrisiken im Bereich des Datenschutzrechts sind enorm, sowohl für das Unternehmen als auch für die Geschäftsführung. So ergibt sich aus § 7 S. 1 BDSG ein verschuldensunabhängiger Schadensersatzanspruch. Diese Vorschrift bestimmt nämlich, dass ein Unternehmen für alle Schäden verschuldensunabhängig (!) und unbegrenzt haftet, die es Dritten durch unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten zufügt. Darüber hinaus kommen hierbei auch deliktische Ansprüche gem. § 823 BGB in Betracht, da das von § 823 I BGB geschützte Rechtsgut Eigentum eben auch die Integrität von Daten umfasst. Nicht zuletzt wäre hier auch eine Verletzung des allgemeinen Persönlichkeitsrecht zu denken, etwa wenn es um personenbezogene Daten geht. Beispiel: Ein Hacker kann Kundendaten auslesen, weil keine Firewall eingesetzt wird, vgl. Anlage zu § 9 Satz 1 BDSG Nr. 2. Dabei ist insbesondere für Unternehmen die in § 7 BDSG enthaltene Beweislastumkehr problematisch. Es wird nämlich zunächst immer erst einmal von einem Verschulden des Unternehmers ausgegangen. Bezüglich der Haftung gilt nur für den Fall etwas anderes, in dem das Unternehmen die „gebotene Sorgfalt“ (vgl. § 7 S. 2 BDSG) beachtet hat. Dies ist natürlich dann der Fall, wenn es die oben aufgeführten Verpflichtungen zur Einhaltung des Datenschutzes beachtet und auch umgesetzt hat. B. Öffentlich-rechtliche Sanktionen 1. Bußgelder und Freiheitsstrafe Auch in den Fällen, bei denen noch kein Schaden entstanden ist, kann die mangelnde Umset-zung von IT-Sicherheitsbestimmungen im besonders sensiblen Bereich des Datenschutzes teuer werden. So können in Fällen, in denen personenbezogene Daten nicht ausreichend gemäß den Vorgaben des BDSG geschützt werden, je nach Schwere des Verstoßes
In solchen Fällen können die IT-Verantwortlichen – gleich ob Vorstand, Geschäftsführer, Behördenleiter, angestellter oder externer IT-Administrator – tatsächlich mit "einem Bein im Gefängnis stehen". Exkurs: Wann Unternehmen als Telekommunikationsanbieter-Anbieter gerade stehen… Es ist erstaunlich aber nur die wenigsten Unternehmen (nämlich ca. 20 %) regeln die private Nutzung von E-Mail und Internet durch ihre Angestellten. So wird in den meisten Unternehmen die private Nutzung der unternehmenseigenen Kommunikationseinrichtungen auch für private Zwecke gestattet bzw. zumindest stillschweigend geduldet. Viele Unternehmen scheinen sich dabei jedoch über die folgende Konsequenz nicht wirklich im Klaren zu sein: Stellt man den betriebseigenen Internetzugang für betriebsfremde Zwecke zur Verfügung, indem man etwa den Angestellten die private Nutzung des Internet/E-Mailzugangs gestattet, wird das Unternehmen in diesem Fall geschäftsmäßiger Anbieter von Telekommunikationsdiensten. Keine Rolle spielt hierbei, ob die private Nutzung, etwa des Internets, entgeltlich oder unentgeltlich angeboten wird. Unternehmen, die die private Nutzung des Internet/E-Mailzugangs erlauben unterliegen als Telekommunikations- und Telediensteanbieter folgenden rechtlichen Pflichten:
***Exkursende*** 2. IT-Sicherheit als Obliegenheit des Unternehmens: Nichtberücksichtigung bei der Vergabe öffentlicher Aufträge Die Einhaltung von IT-Sicherheitsbestimmungen kann auch Auswirkungen auf den Erfolg bei der Bewerbung um öffentlich-rechtliche Aufträge haben, da öffentliche Auftraggeber verstärkt dazu übergehen, bei IT-relevanten Aufträgen auch Nachweise über die IT-Sicherheitsstruktur des Anbieters einzufordern. Betrifft die Einhaltung der Sicherheitsbestimmungen das anbietende Unternehmen selbst, werden die Einhaltung der geforderten IT-Sicherheitskriterien bei der Eignungsprüfung (Fachkunde, Leistungsfähigkeit und Zuverlässigkeit) gewürdigt. Beziehen sich die geforderten IT-Sicherheitsbestimmungen auf den Inhalt der anzubietenden IT-Leistung, werden die Antworten des Bieters auf die IT-Sicherheitsanforderungen des öffentlichen Auftraggebers im Rahmen der Leistungsbewertung Berücksichtigung finden. Ein Unternehmen, das insofern auf Forderungen der Vergabestelle nicht eingeht, riskiert ohne weiteres, entweder bereits bei der Eignungsprüfung oder bei der Bewertung der von ihm angebotenen IT-Leistung ausgeschlossen zu werden. Derzeit in der Diskussion ist die Forderung vieler Vergabestellen, IT-Sicherheitsanforderungen zu instrumentalisieren, um ungewünschte Angebote auszuschließen zu können. Hierzu gehört etwa die Forderung, den Quellcode der anzubietenden Software als vermeintliche Voraussetzung für IT-Sicherheit offen zu legen. Anbieter proprietärer Software werden hier nicht anbieten können. C. Vertragliche Haftung Um es nicht unerwähnt zu lassen: Verletzt ein Vertragspartner vertragliche Pflichten, die ihm gerade in Bezug auf die IT-Sicherheit auferlegt wurden, treffen ihn die Sanktionen, die der jeweilige Vertragstext für diesen Fall vorhält. D. Sonstige mittelbare oder unmittelbare finanziellen Nachteile Die hier vorstellbaren Konsequenzen sind mannigfaltig und reichen von der Herabstufung der Bonität („Basel II“) über den Imageverlust des Unternehmens bis hin zur Erhöhung der Versicherungsbeiträge: 1. Basel II: Herabstufung der Bonität Das Bundeskabinett verabschiedete Mitte Februar dieses Jahres den Gesetzesentwurf zur Umsetzung der Banken- und Kapitaladäquanzrichtlinie, besser bekannt unter dem Namen "Basel II". Dies hat zur Folge, dass auch die Banken und Finanzinstitute in Deutschland ab 2007 gesetzlich verpflichtet sind, die Vorgaben des Basel II Abkommens umzusetzen und insbesondere eine individuelle Bonitätseinschätzung des jeweiligen kreditsuchenden Unternehmen durchführen. Mittels dieser Bonitätseinschätzung kann sodann ermittelt werden, wie hoch die Wahrscheinlichkeit ist, dass der Kredit an die Bank auch wieder zurückgezahlt wird („Ausfallrisiko“). Sollte dabei das Risiko eines Ausfalls als hoch eingestuft werden, wird sich die Bank dies bezahlen lassen indem sie die Bonität des kreditsuchenden Unternehmens herabsetzt und nur ungünstige Kreditkonditionen weitergibt. Im schlechtesten Falle kommt es gar zu einer Weigerung einer Kreditgewährung. Es ist selbstverständlich, dass in diesem Zusammenhang ein besonderes Augenmerk auf das operationale Risiko "IT-Sicherheit" liegen muss. Bereits in der Einleitung dieses eBooks wurde auf die fundamentale Bedeutung der IT-Infrastruktur für ein jedes Unternehmen eingegangen, da sie in den meisten Fällen unternehmerisches Handeln überhaupt erst ermöglicht. Fallen die IT-Systeme aus, sind in aller Regel die Unternehmen heutzutage nicht mehr handlungsfähig und der Betrieb steht still. Aus diesem Grund werden die Banken sehr genau prüfen, ob der Kreditnehmer zumindest die Grundanforderungen zur IT-Sicherheit (s.o.) durch die Einhaltung bestimmter Sicherheitsvorkehrungen getroffen hat, die ihn vor einem IT-Ausfall schützen. 2. Finanzielle Verluste des Unternehmens / Imageverlust /Versicherung Ausfälle der IT-Infrastrukur können natürlich dem betroffenen Unternehmen auch direkt hohe finanzielle Verluste bescheren, etwa wenn es um einen länger andauernde Ausfall der unternehmenseigenen IT-Infrastruktur geht (Stichwort Datenverlust). Hinzu kann zudem der Imageverlust des Unternehmens kommen, weil etwa grobe Versäumnisse im Bereich des Datenschutzes an die Öffentlichkeit gelangen sollten. Nur am Rande sei noch erwähnt, dass Defizite im Bereich der IT-Sicherheit dazu führen können, dass die Versicherungen ihre Leistungen kürzen und sich dabei auf ein mögliches Mitverschulden des „blauäugigen“ Unternehmen berufen. In diesem Zusammenhang kann es dann auch leicht zu einer Erhöhung der Versicherungsprämie für zukünftige Fälle kommen. II. Wie haben die Verantwortlichen die IT-Sicherheit nun zu gewährleisten? Angesichts der oben beschriebenen Sanktionen bei nur mangelhaft umgesetzter IT-Sicherheit stellt sich natürlich für die Unternehmen bzw. den jeweiligen Verantwortlichen die Frage, wie das Haftungsrisiko nach Möglichkeit verringert, ja möglichst ausgeschlossen werden kann. Zumindest für die bisher in diesem Bereich Untätiggebliebenen drängt die Zeit, da Störfälle, die die IT-Sicherheit betreffen, überdurchschnittlich zunehmen:
Nützliche Links zum Thema IT-Security: http://www.bsi.de/ (Bundesamt für Sicherheit in der Informationstechnik) http://www.bitkom.de/de/publikationen/38337.aspx (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.) http://www.it-recht-kanzlei.de (Auf das IT- und Vergaberecht spezialisierte Sozietät) Ende der Serie 12/2006, Max-Lion Keller
| | | | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| © 1999-2010 FEiG & PARTNER | Nutzungsbedingungen | | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 | |  | |  | |  | |  | |  | |  | |  | |  | |   |
|
| ||
| know how news veranstaltungen sicherheitswarnungen | |
| ||
| ||
| ||
| ||
|
